网络安全等级保护:关于要测不测评那些事!

admin
admin
admin
102737
文章
87
评论
2023年4月27日08:23:55评论26 views字数 2850阅读9分30秒阅读模式
昨天我在朋友圈下面,根据自己的理解,作个注解。今天,再就这个问题做一个阐释。首先等级测评等级保护工作等级保护制度,我们在讨论等级保护时,口语中这个词汇在这三者不断进行切换,以至于很多人被误导。等级保护制度等级保护工作(非涉密)>等级测评(等级测评只是五个规定动作之一)。等级保护工作涵盖定级、备案、建设整改、等级测评、监督检查,这五个规定动作其实是基本上把所有网络安全服务单位、责任单位以及监管单位,都纳到了等级保护制度之下。
当我们讨论引用《网络安全法》第二十一条,这里的等级保护法律第一句是指“等级保护制度”,下面几项是重要工作措施;当我们说落实等级保护责任时,这里其实是指等级保护工作,这里涉及所谓的五个规定动作;当我们测评机构以及很多单位说“做没做等保”时,这里其实局限在等级测评。等级测评是检验等级保护工作开展效果的有力方式,所以等级测评的质量以及是否如实反映系统实际情况也就至关重要了。
同时,等级保护制度是强制性的,但是不同级别的网络在落实等级保护制度时,其工作内容要求是存在差异化的,所以不是说等级测评是强制性的,在此一定要区分开来。从《信息安全等级保护管理办法》及《网络安全等级保护条例》(征求意见稿)中,我们也能明白,第一级网络连备案都不作要求,而第三级以上网络则强制性开展等级测评,但是第一级网络并不是不落实等级保护制度,还是要按照第一级的要求采取安全措施开展安全防护实现第一级安全目标。

网络安全等级保护:关于要测不测评那些事!

就某个单位的定级工作,是这个单位自己的事情,他也可以求助于第三方安全服务机构,但是这个工作的责任主体是这个单位;备案这个环节是这个单位向公安机关进行备案。根据备案在百度百科的解释:备案是指向主管机关报告事由存案以备查考。也就是,责任单位需要备案,根据备案的结果去满足备案中对应级别的要求进行建设整改、测评。而公安机关的监督检查其实是从定级开始,直到系统废弃。至于等级保护测评,则是在建设完成上线前,需要做一次体系性的“体检”,体检当然是检查以“网络”为中心的整个体系性工作开展情况,测评检验责任单位整体安全水平和防护能力的同时也为责任单位对规划、设计、建设过程中出现的其他第三方工作情况,有个更清楚的把握。监督检查工作则由监管部门开展,在等级保护工作中涉及公安、保密、密码等部门,各个部门均在自己职责范围内进行监管。而公安监管为主线,占据监管内容的绝对量。

网络安全等级保护:关于要测不测评那些事!

在公安部2008年发布的《公安机关信息安全等级保护检查工作规范》检查表中要求对信息系统安全等级保护定级备案情况检查时,有个细节是“是否有未定级、备案信息系统(如有了解其情况),第一级信息系统定级是否准确?”,所以至少从这个文件我们知道,单位所有系统都需要定级,哪怕是第一级的信息系统,也需要提供定级的证据性内容;同时我们参考《网络安全等级保护条例》(征求意见稿)中的描述:“在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外”也就是说单位内的系统都遵循等级保护的要求。这里提及的个人及家庭例外条件是“自建自用”,自建为他人提供服务也需要落实等级保护制度,开展等级保护工作。
《信息安全等级保护管理办法》即43号文,明确规定第二级以上信息系统,需要到公安机关备案,同时在《网络安全等级保护条例》(征求意见稿)也是与之对齐了要求,只是时间周期上做了压缩。所以,这里我们可以得到一个结论:所有网络(系统)必须进行定级,第一级应定级不需备案;第二级应备案可不测评;第三级应定级、备案、测评;第四级同第三级要求。同时必须依据国家标准落实建设整改工作以及接受公安机关的监督,第二级系统可以不进行测评,但是需要根据《信息安全技术 网络安全等级保护基本要求》第二级对应要求,从技术和管理两个维度开展满足第二级水平和能力的建设整改工作,同时公安机关在监督检查中,若发现单位未满足第二级建设要求,是可以依法依规开展检查指导的。
以上,这是以国家政策和标准为准。两个特殊情况,需要考虑。一则有行业政策性或规范性文件要求的,以要求为准,但原则上行业性要求要过于国家通用要求。如国家卫生健康委 国家中医药局 国家疾控局于2022年8月8日印发的《医疗卫生机构网络安全管理办法》,规定“第二级的网络应委托等级保护测评机构定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评,其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行前应进行安全性测试”,那么作为卫生医疗机构则需要以此为准,按照要求定期开展等级保护测评。二则有区域性文件支持的,以当地正式发布的文件为准。如广东省发布有《广东省计算机信息系统安全保护条例》,在该条例中第十二条明确要求“ 第二级以上计算机信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家规定的安全等级测评机构,依据国家规定的技术标准,对计算机信息系统安全等级状况开展等级测评,测评合格后方可投入使用。”,第二级以上计算机信息系统,需要开展等级保护测评,则在广东范围内落实网络安全等级保护制度,开展网络安全等级保护工作则需要遵循《广东省计算机信息系统安全保护条例》的要求。
总的来说,在等级保护制度相关政策或规范性文件中,没有明确要求的,是不做强制性要求的,但是根据自身业务特性可以在要求的基础上,加强自身防护水平的提升。以《信息安全技术 网络安全等级保护基本要求》为目标的工作开展,只是满足了基线需求,而对于安全来说尚需要进一步加强。而等级保护制度是我们网络安全的基本制度,所有网络的安全构建都在这个地基之上,至少在中国谈网络安全没有两条线,基础性要求就是等级保护。
满足基线要求,只是满足了被动式初级合规,但如果出现重大安全事件以及特殊情况,则需要特殊对待。所有网络(系统)必须进行定级,第一级应定级不需备案;第二级应备案可不测评;第三级应定级、备案、测评;第四级同第三级要求。各级网络(系统)均需要按照等级保护制度要求,按照国家标准开展建设整改工作,接受监管部门监督、检查、指导。
话又说回来了,虽然并没有强制要求测评,不代表你不能通过测评或者风险评估的方式来检验自家网络安全水平,因为无论哪一级的网络都需要落实网络安全等级保护“三同步”原则,所以在同步设计过程中,一样需要扎实的等级保护咨询来协助自己做好安全与合规,在建设阶段也需要时刻不忘网络安全等级保护要求,在运维阶段持之以恒的满足等级保护要求,所以还是需要该建立管理制度建立管理制度,该采取安全技术措施采取安全技术措施,才能保证科学规划建设,做到合规、安全。在这个时候,你则需要用心遴选为你提供优质服务的第三方安全服务机构,而不是为了应付合规而合规安全服务机构。同时,随着监管进一步的加强,则那些为了合规而合规的掺杂水分也将转变成责任,砸到我们身上。
有机会,我们再好好聊聊网络安全等级保护,她是一个立体的存在,雾里看花,不知你看到她哪一面?

建了一个属于网络安全从业人士交流群,加微信进群

网络安全等级保护:关于要测不测评那些事!
做对用户有真实价值的网络安全服务

原文始发于微信公众号(河南等级保护测评):网络安全等级保护:关于要测不测评那些事!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月27日08:23:55
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全等级保护:关于要测不测评那些事!http://cn-sec.com/archives/1694900.html

发表评论

匿名网友 填写信息